操作系统安全实验3实验报告Word格式.docx

操作系统安全实验3实验报告Word格式.docx

《操作系统安全实验3实验报告Word格式.docx》由会员分享，可在线阅读，更多相关《操作系统安全实验3实验报告Word格式.docx（15页珍藏版）》请在冰豆网上搜索。

3、实验内容

1、配置本地安全设置，完成以下内容：

（1）账户策略：

包括密码策略（最小密码长度、密码最长存留期、密码最短存留期、强制密码历史等）和账户锁定策略（锁定阈值、锁定时间、锁定计数等）

（2）账户和口令的安全设置：

检查和删除不必要的账户（User用户、DuplicateUser用户、测试用户、共享用户等）、禁用guest账户、禁止枚举帐号、创建两个管理员帐号、创建陷阱用户（用户名为Administrator、权限设置为最低）、不让系统显示上次登录的用户名。

（3）设置审核策略：

审核策略更改、审核账户登录事件、审核账户管理、审核登录事件、审核特权使用等

（4）设置IP安全策略

（5）其他设置：

公钥策略、软件限制策略等

2、Windows系统注册表的配置

（1）找到用户安全设置的键值、SAM设置的键值

（2）修改注册表：

禁止建立空连接、禁止管理共享、关闭139端口、防范SYN攻击、减少syn-ack包的响应时间、预防DoS攻击、防止ICMP重定向报文攻击、不支持IGMP协议、禁止死网关监控技术、修改MAC地址等操作。

建立空连接：

“Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous”的值改成“1”即可。

禁止管理共享：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项

对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。

对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。

关闭139端口：

在“网络和拨号连接”中“本地连接”中选取“Internet协议（TCP/IP）”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

防范SYN攻击：

相关的值项在HKLM\SYSTEM\CurrentControlSet\Service\Tcpip\Parameters下。

（1）DWORD：

SynAttackProtect：

定义了是否允许SYN淹没攻击保护，值1表示允许起用Windows的SYN淹没攻击保护。

（2）DWORD：

TcpMaxConnectResponseRetransmissions：

定义了对于连接请求回应包的重发次数。

值为1，则SYN淹没攻击不会有效果，但是这样会造成连接请求失败几率的增高。

SYN淹没攻击保护只有在该值>

=2时才会被启用，默认值为3。

（上边两个值定义是否允许SYN淹没攻击保护，下面三个则定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活SYN淹没攻击保护。

）

减少syn-ack包的响应时间：

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions定义了重发SYN-ACK包的次数。

增大NETBT的连接块增加幅度和最大数器，NETBT使用139端口。

HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\BacklogIncrement默认值为3，最大20，最小1。

HKLM\SYSTEM\CurrentControlSet\Services\NetBt\Parameters\MaxConnBackLog默认值为1000，最大可取40000

预防DoS攻击：

在注册表

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以防御一定强度的DoS攻击

SynAttackProtectREG_DWORD2

EnablePMTUDiscoveryREG_DWORD0

NoNameReleaseOnDemandREG_DWORD1

EnableDeadGWDetectREG_DWORD0

KeepAliveTimeREG_DWORD300,000

PerformRouterDiscoveryREG_DWORD0

EnableICMPRedirectsREG_DWORD0

防止ICMP重定向报文的攻击：

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirectsREG_DWORD0x0（默认值为0x1）

该参数控制Windows是否会改变其路由表以响应网络设备（如路由器）发送给它的ICMP重定向消息，有时会被利用来干坏事。

Windows中默认值为1，表示响应ICMP重定向报文。

禁止响应ICMP路由通告报文

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\PerformRouterDiscoveryREG_DWORD0x0（默认值为0x2）

“ICMP路由公告”功能可造成他人计算机的网络连接异常，数据被窃听，计算机被用于流量攻击等严重后果。

此问题曾导致校园网某些局域网大面积，长时间的网络异常。

建议关闭响应ICMP路由通告报文。

Windows中默认值为2，表示当DHCP发送路由器发现选项时启用。

不支持IGMP协议

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IGMPLevelREG_DWORD0x0（默认值为0x2）

Win9x下有个bug，就是用可以用IGMP使别人蓝屏，修改注册表可以修正这个bug。

Windows虽然没这个bug了，但IGMP并不是必要的，因此照样可以去掉。

改成0后用routeprint将看不到224.0.0.0项了。

禁止死网关监测技术

HKLM\SYSTEM\CurrentControlSet\Services:

\Tcpip\ParametersEnableDeadGWDetectREG_DWORD0x0（默认值为ox1）

如果你设置了多个网关，那么你的机器在处理多个连接有困难时，就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。

修改MAC地址

HKLM\SYSTEM\CurrentControlSet\Control\Class\

找到右窗口的说明为“网卡“的目录，比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}展开之，在其下0000,0001,0002...的分支中找到”DriverDesc“的键值为你网卡的说明，比如说”DriverDesc“的值为”Intel（R）82559FastEthernetLANonMotherboard“然后在右窗口新建一字符串值，名字为”Networkaddress“，内容为你想要的MAC值，比如说是”004040404040“然后重起计算机，ipconfig/all查看。

3、文件及文件夹权限设置

（1）用户组及用户的权限：

有哪些组？

其权限是什么？

有哪些用户？

分属哪些组？

设置其权限。

（2）新建一个文件夹并设置其访问控制权限。

4、审核日志分析

（1）查找审核日志，显示其详细信息：

应用程序日志、安全性日志、系统日志。

（2）分析各种日志所描述的内容，分析警告、信息、错误等的意义。

信息为普通系统信息，警告为暂时可不处理的问题，错误为必须立即处理的问题。

5、使用Microsoft基准安全分析器MBSA2.0对系统进行安全评估

Microsoft基准安全分析器（MBSA）可以检查操作系统，还可以扫描计算机上的不安全配置。

检查Windows服务包和修补程序时，它将Windows组件（如Internet信息服务（IIS）和COM+）也包括在内。

MBSA使用一个XML文件作为现有更新的清单。

该XML文件包含在存档Mssecure.cab中，由MBSA在运行扫描时下载，也可以下载到本地计算机上，或通过网络服务器使用。

本文档部分内容来源于网络，如有内容侵权请告知删除，感谢您的配合！